Sadržaj:
- Novi zaokret u starom pristupu
- Otkrivanje anomalije
- Sadržaj zlonamjernog softvera
- Rezultati ispitivanja
- Prednosti PREC-a
- Izazov
Tržišta aplikacija za Android prikladan su način za dobivanje aplikacija. Tržišta su također prikladan način za negativce u isporuci zlonamjernog softvera. Vlasnici tržnica, kako bi zaslužili to, pokušavaju njušiti loše aplikacije pomoću sigurnosnih mjera kao što je Google Bouncer. Nažalost, većina - uključujući Bouncera - nije do zadatka. Loši su momci gotovo odmah smislili kako odrediti kada Bouncer, okružje za oponašanje, testira svoj kod. U ranijem intervjuu Jon Oberheide, suosnivač Duo Securitya i osoba koja je obavijestila Google o problemu, objasnio je:
"Da bi Bouncer bio učinkovit, on se mora razlikovati od stvarnog korisnika mobilnog uređaja. U protivnom, zlonamjerna aplikacija moći će utvrditi da se izvodi s Bouncerom i ne izvršava njegov zlonamjeran teret."
Drugi način na koji luđaci lupaju Bouncera je pomoću logičke bombe. Kroz svoju povijest logične su bombe pustošile na računalnim uređajima. U ovom slučaju, logički kôd bombe tiho sprečava provjeru zlonamjernog softvera, slično kao što Bouncer ne aktivira korisni teret sve dok se zlonamjerna aplikacija ne instalira na stvarni mobilni uređaj.
Suština je da su tržišta aplikacija za Android, osim ako ne postanu učinkovita u otkrivanju korisnog opterećenja zlonamjernog softvera u aplikacijama, zapravo glavni distribucijski sustav zlonamjernog softvera.
Novi zaokret u starom pristupu
Istraživački tim Sveučilišta Sjeverne Karoline Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu i William Enck možda su našli rješenje. U svom radu PREC: Practical Root Exploit Containment for Android Devices, istraživački tim predstavio je svoju verziju sheme otkrivanja anomalija. PREC se sastoji od dvije komponente: one koja radi s detektorom zlonamjernog softvera trgovine trgovine i one koja se s aplikacijom preuzima na mobilni uređaj.
Komponenta trgovine aplikacija jedinstvena je po tome što zapošljava ono što istraživači nazivaju "klasificiranim nadzorom sistemskih poziva". Ovaj pristup može dinamički identificirati sistemske pozive komponenti visokog rizika poput knjižnica trećih strana (one koje nisu uključene u Android sustav, ali dolaze s preuzetom aplikacijom). Ovdje je logika da mnoge zlonamjerne aplikacije koriste vlastite knjižnice.
Sustavni pozivi iz visoko rizičnog koda treće strane dobivenog ovim nadzorom, plus podaci dobiveni postupkom otkrivanja trgovine aplikacija, PREC-u omogućuju stvaranje normalnog modela ponašanja. Model se prenosi u PREC servis, u usporedbi s postojećim modelima radi točnosti, nadmorske visine i robusnosti za mimikrijske napade.
Ažurirani model je zatim spreman za preuzimanje s aplikacijom svaki put kad aplikaciju zatraži netko tko posjećuje trgovinu aplikacija.
To se smatra fazom praćenja. Nakon što se PREC model i aplikacija preuzmu na Android uređaj, PREC ulazi u fazu izvršenja - drugim riječima, otkrivanje anomalije i zadržavanje zlonamjernog softvera.
Otkrivanje anomalije
Nakon što se aplikacija i PREC model stave na Android uređaj, PREC nadzire kôd treće strane, posebno sistemske pozive. Ako je slijed sistemskih poziva drugačiji od onog koji se nadgleda u trgovini aplikacija, PREC određuje vjerojatnost da je nenormalno ponašanje eksploatacija. Jednom kada PREC utvrdi da je aktivnost zloćudna, prelazi u način zadržavanja zlonamjernog softvera.Sadržaj zlonamjernog softvera
Ako se pravilno razumije, zadržavanje zlonamjernog softvera čini PREC jedinstvenim kada je u pitanju Android anti-malware. Zbog prirode operativnog sustava Android, Android aplikacije protiv zlonamjernog softvera nisu u stanju ukloniti zlonamjerni softver niti ga staviti u karantenu jer svaka aplikacija se nalazi u kutiji s pijeskom. To znači da korisnik mora ručno ukloniti zlonamjernu aplikaciju prvo lociranjem zlonamjernog softvera u odjeljku Aplikacija u Upravitelju sustava uređaja, zatim otvaranjem stranice statistike aplikacije zlonamjernog softvera i dodirom na "deinstaliraj".
PREC čini jedinstvenim ono što istraživači nazivaju "sitnozrnatim mehanizmom za zadržavanje na temelju kašnjenja". Opća je ideja usporiti sumnjive sistemske pozive pomoću baze odvojenih niti. To prisiljava eksploziju na istek vremena, što rezultira statusom "aplikacija ne reagira" pri čemu aplikaciju Android operativni sustav u potpunosti isključuje.
PREC se može programirati tako da uništi niti sistemskih poziva, ali može prekinuti uobičajene operativne aplikacije ako detektor anomalije pogriješi. Umjesto da to rizikuju, istraživači ubacuju kašnjenje tijekom izvođenja niti.
"Naši eksperimenti pokazuju da većina iskorištavanja korijena postaje neučinkovita nakon što usporimo zlonamjeran izvorni navoj do određene točke. Pristup temeljen na kašnjenju može lažnije obraditi lažne alarme jer benigna aplikacija neće trpjeti pad sustava ili prekid zbog prolaznih lažnih alarmi ", objašnjava rad.
Rezultati ispitivanja
Da bi procijenili PREC, istraživači su izgradili prototip i testirali ga na 140 aplikacija (80 s izvornim kodom i 60 bez izvornog koda) - plus 10 aplikacija (četiri poznate aplikacije za iskorištavanje korijena iz Malware Genome projekta i šest prepakiranih aplikacija za iskorištavanje korijena) - koji su sadržavali zlonamjerni softver. Zlonamjerni softver obuhvaćao je verzije DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich i GingerBreak.
Rezultati:
- PREC je uspješno otkrio i zaustavio sva testirana iskorištavanja korijena.
- Podigla je nula lažnih alarma na dobroćudnim aplikacijama bez izvornog koda. (Tradicionalni programi podižu 67-92% lažnih alarma po aplikaciji.)
- PREC je smanjio lažnu stopu alarma na dobroćudnim aplikacijama s matičnim kodom za više od jednog stupnja veličine u odnosu na tradicionalne algoritme za otkrivanje anomalije
Prednosti PREC-a
Osim što je dobro izveo testove i proslijedio izvediv način da sadrži Android zlonamjerni softver, PREC je imao i bolji broj kada je u pitanju lažno pozitivan rezultat i gubitak performansi. Što se tiče performansi, u radu je navedeno da PREC-ova "klasificirana shema praćenja nameće manje od 1% režijskih troškova, a algoritam za otkrivanje anomalije SOM nameće do 2% nadzemne vrijednosti. Sve u svemu, PREC je lagan, što ga čini praktičnim za pametne uređaje."
Trenutačni sustavi otkrivanja zlonamjernog softvera koje koriste trgovine aplikacija nisu učinkoviti. PREC pruža visok stupanj točnosti otkrivanja, nizak postotak lažnih alarma i sadržaj zlonamjernog softvera - nešto što trenutno ne postoji.
Izazov
Ključ za aktiviranje PREC-a je kupovina s tržišta aplikacija. Samo je stvar stvaranja baze podataka koja opisuje kako se aplikacija normalno izvodi. PREC je jedno sredstvo koje se može koristiti za postizanje toga. Zatim, kad korisnik preuzme željenu aplikaciju, informacije o izvedbi (PREC profil) idu s aplikacijom i koristit će se za temeljno ponašanje aplikacije dok je instalirana na Android uređaju.
